最近折腾NAS上瘾了,各种折腾.发现很多好玩的东西.今天先跟大家分享一下用https加密的方式从外网来访问NAS,并且不会出现证书不受信任的提示.
(本文只是一个菜鸟跟大家分享折腾乐趣.关于各种技术细节如果有错误的地方,欢迎各位大神老鸟指出.如果你已经知道这个方法了,权当看看就好.第一次发这种类似于教程的帖子,多多包涵)
我们都知道,synology为其NAS提供了更加安全的访问协议.那就是htttps.但是要使用https加密协议就必须要SSL证书才可以,不然就会出现证书错误.像下图这样..
证书错误.png (42.71 KB, 下载次数: 0)
虽然不影响使(点继续浏览此网站,还是可以访问的)但是强迫症受不了有木有啊.不折腾不舒服斯基有木有
果断跑去找度娘,一翻爬文,发现个人也可以免费申请SSL证书,并且是免费的,还是中文站点沃通.
第一、沃通官方网站注册账户
点此去注册沃通账户
沃通注册.png (309.03 KB, 下载次数: 4)
新注册WoSign沃通个人账户,然后到邮箱中激活。完毕之后,我们就可以登录WoSign沃通账户后台。
第二、申请开通免费WoSign沃通证书
用户中心1.png (164.75 KB, 下载次数: 1)
在用户中心找到购买证书,点购买证书
用户中心2.png (78.81 KB, 下载次数: 0)
找到这个免费SSL,立即申请.
域名1.png (91.26 KB, 下载次数: 2)
第二步需要注意一下验证文件.
验证文件.png (185.86 KB, 下载次数: 1)
下载这个文件以后,把这个文件放在群晖的WWW文件夹下去.群晖需要开启Web Station和个人网站.验证完毕以后不想使用这两个功能的可以关闭.(如下图)
群晖1.png (195.14 KB, 下载次数: 0)
群晖2.png (143.72 KB, 下载次数: 0)
完成所有的步骤以后,点击提交申请.审核速度很快,十分钟左右就能收到证书了.这里要特别注意一下那个证书保护密码,千万不要搞错了.后面取回证书和加密证书的压缩文件用的,非常重要.
取走1.png (308.27 KB, 下载次数: 1)
审核通过以后大概就是这样子了,按照提示取走证书即可,是一个RAR的加密压缩文件,需要用到之前申请的时候那个证书保护密码解压.
证书1.png (3.84 KB, 下载次数: 1)
解压证书我们看到里面有5个压缩文件.我们使用第三个for Apache.zip这个.
证书2.png (8.19 KB, 下载次数: 1)
解压后得到三个文件,第一个是中间证书,第二个是证书,第三个是私钥.
证书3.png (175.56 KB, 下载次数: 0)
在这里一一对应导入证书
.
证书4.png (129.95 KB, 下载次数: 1)
完成后就是这样了.
现在,我们再访问一下自己的动态域名地址看看,是不是已经不提示证书错误了
完成.png (77.16 KB, 下载次数: 0)
PS:这样有个问题,就是局域网以IP地址访问的时候,还是会提示证书错误,不知道有没有哪位有办法解决的.现在小弟暂时都是用的动态域名访问的
评论
DSM开启HTTPS的方法,以及强制浏览器以https方式访问的设置.如下两图
https1.png (170.5 KB, 下载次数: 0)
https2.png (193.82 KB, 下载次数: 1)
评论
我 80端口已经被封。我试试443端口能不能使。
评论
https默认就是443
评论
这货证书已被Chrome xx,免费还是用startssl的吧。
评论
我的443公网可以访问,80不行,但是不知道为什么验证 html 文件的时候一直提示没有放到根目录。
另外你的问题。SSL 证书是和 domain 唯一绑定的,所以你内网也要用公网 domain 来访问才行,通过 ip 是不行的,肯定提示证书错误。
评论
跟web相关的 每个下面放一个.这一步我也是搞了好多次才ok的,多试试
评论
我是自己建立的CA服务器,把根证书导入常用的电脑手机就行了,
评论
收藏学习了
评论
建议自建CA服务器,设备上导入根证书就行了。自己搭服务器,很多场合都要用到证书的,自己签更方便。
另外这家的证书在chrome上不受信
评论
沃通的免费服务器证书不受chrome信任。
沃通的EV服务器证书应该是受chrome信任。
区别很明显:钱!
评论
用沃通免费的就是图个方便 呵呵
评论
估计留有后门给功夫网审查
评论
Google在Google Online Security上宣布Google旗下所有产品将全面吊销CNNIC根证书,中国互联网信息中心(CNNIC)认证的网站将不再被Google认为是安全的。
在3月份,由埃及中级CA MCS制作的假证书事件仍然在发酵,即Mozilla宣布旗下Firefox浏览器撤销中级CA MCS证书后,Google宣布旗下所有产品全面吊销CNNIC根证书(CNNIC Root)。
MCS在上个月伪造Google旗下产品如Gmail证书后进行劫持后,被Google发现,Google发现MCS的中级证书由中国的根CA机构CNNIC颁发。
尽管后来CNNIC宣称对MCS伪造Google旗下产品证书的事件不知情,但也显示了CNNIC对证书管理不善导致了这次事件。
Google表示,如果CNNIC实施技术手段及流程改进杜绝这类事件再次发生,可以重新申请加入。
现有CNNIC证书客户讲暂时以白名单形式继续支持一段时间作为过渡,也就是说,如果CNNIC不进行改进,而使用CNNIC颁发证书的网站、产品也没有更换其他CA机构颁发的证书,那么这些网站和产品将被Google封杀。
CNNIC对此事件已经发布声明,声明中称CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益、CNNIC将切实保障已有用户的使用不受影响。
评论
你不知道吧?
什么是EV服务器证书
评论
动态域名没比格,还是买个com吧
评论
局域网IP红很容易解决。重新弄个证书,IP地址填进域名列表里(wosign那个框可以填100个域名)
评论
国内的证书,没啥用。如果非要免费的,就startssl吧
ps:收费的证书也不过5刀一年。。。
评论
wosign免费的不能填IP地址的,我试过
另外80被ISP封,443可用,然后我已经配置完apache2,外网也能访问https://xxx.3322.org/3322.org.html,就是认证过不了,后来找朋友放在他的托管主机上,ddns指向他的服务器,算是过了
如果想IP和ddns域名都可用,可自己签,我把常用的路由(Openwrt)啊,Linux下载机啊,NAS的内网IP全加进去了,导入自己的CA,啥错误都没了
新建一个配置文件,server_key.cnf,内容如横线内
-----------------------------------
[req]
distinguished_name = req_name
req_extensions = v3_req
[req_name]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = FJ
localityName = Locality Name (eg, city)
localityName_default = FZ
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = Home
commonName = Common Name (hostname, IP, or your name
commonName_default = My Server Certificate
commonName_max = 64
[v3_req]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = xxxx.3322.org
DNS.2 = xxxx.vicp.net
IP.1 = 192.168.1.1
IP.2 = 192.168.1.2
IP.3 = 192.168.1.3
IP.4 = 192.168.1.130
IP.5 = 127.0.0.1
-----------------------------------
在命令行执行:
openssl genrsa -des3 -out ca.key 2048
openssl req -new -key ca.key -out ca.csr
openssl x509 -days 3650 -sha256 -signkey ca.key -in ca.csr -req -out ca.crt
openssl genrsa -out server.key 2048
openssl req -new -sha256 -out server.csr -key server.key -config server_key.cnf
openssl req -text -noout -in server.csr
openssl x509 -req -days 3650 -sha256 -CA ca.crt -CAkey ca.key -set_serial 01 -in server.csr -out server.crt \
-extensions v3_req -extfile server_key.cnf
cat server.key server.crt > server.pem //生成Apache PEM格式复制代码
评论
大神,自己CA怎么搞.
评论
上面生成的ca.crt就是ca证书,导到电脑或手机里就行了
评论
直接在windows环境下可以?
评论
我是在Linux下用openssl命令做的,windows下的没试过,应该差不多吧
https://www.openssl.org/related/binaries.html
评论
回头试试看
评论
wosign的证书通过startssl的交叉证书可以被信任。
评论
wosign的证书通过startssl的交叉证书可以被信任。
我刚看了下自己的网站,以前签的证书没问题啊,Wosign自家的根
评论
CNNIC证书和Wosign证书有毛关系?
还留后门呢,建议先去学习一下证书体系的基本知识
评论
我从godaddy申请了.com域,然后在startssl申请了证书,把证书、私匙导入群晖后,chrome和IE还是不认,导入iphone显示尚未验证。
这个要怎么弄?
评论
我也是自建 pki.
不过我是windows做的,在家里有整套 ad.
不光web server
连 rdp 3389
sql server 1433
smtps 25 587
pop3s
imaps
*** (l2pt sstp ikev2)
wifi radius 认证
都靠证书保护。
其实用的最多的 也就是 rdp3389 到公司第一件事情就是连回家里。
所有的web,用一个iis的 arr 反响代理就够了,家庭环境(不是群租)可以不用每台web server都用ssl。因为外部到反向代理服务器加密了。反向代理和web server的通信是局域网。
如果要防局域网内的用户,那么所有的通信都要加密。
评论
级别不一样
沃通的EV SSL证书是全球通行不会被封杀(verisigh签发的也是)
当然,很贵就是了。
级别不一样那是认证严格程度和装逼程度的差别。
要说全球通行,DV证书有startssl交叉签名,以及沃通自己根证书也已获认可,所以也是全球认证的。
封杀不封杀取决于使用者电脑是否吊销了CA证书,哪怕是Verisign的EV SSL,只要CA被拉黑一样被封杀。
评论
这些业界领导者历史上错误颁发(鉴证)的结果是并没有封杀,只是吊销其证书而已
你封杀verisign根证书,还有几个可以正常上网
评论
家庭环境自建ca服务器是不是还需要在家里创建ad环境啊,还是只需要一台server就行了,比如虚拟机装个2008然后创建证书服务器
评论
任重道远啊,我的esxi证书一直也没弄好呢
评论
问下楼主局域网ip访问提示证书错误的问题解决没有?强迫症患者求助……
评论
改host
或
自建内部dns
或者由我发给你证书(完全不推荐)
补个效果图
ss.png (10.47 KB, 下载次数: 1)
评论
esxi 都是图形化的,
点点就好了.
简单
评论
windows server 的ca ad不是必须
有ad可以 选 企业root ca 或 standalone root ca
没有 ad 只能 standalone root ca
区别就是 ad 集成,比如 企业根ca的 根证书直接推送到所有 域内机器.
standalone 只能自己导出(下载),导入到其他需要信任的机器上。
评论
能具体说下怎么改吗?局域网有自建的dns
评论
改hosts文件网上太多,你参考即可。
dns 有很多种,
一大类 windows 的,
分 ad集成 dns 和 独立dns。入门简单。
另一大类就是 *nix
linux 的 bind 最通用的
另外 有 *-wrt 的也有很多 选择 比如 dnsmasq,轻量级,好用。说是轻量级其实该有的功能都有了。
有linux 基础的话 入门也很简单。
总的来说dns服务器你了解了基础概念后就算入门了配置起来一马平川,极快。
对你本地访问 https服务使用 域名足够了。
后话
dns进阶的话,要了解的概念比较多。dns往往是为了其他应用来服务的。所以知识点非常多。
精通的话,要自己紧跟国际潮流,知识都是发展的。
大体dns服务器就这么回事。
评论
wosign就算了,现在免费的ssl证书就lets encryp或者alphassl能用一下。
评论
现在的情况是浏览器主导证书,而不是CA厂商了……别小看Google的影响力
评论
干吧,目前正在打呢,胜者为王
评论
沃通这么垃圾的证书我是不敢用的…
评论
不明觉厉!以后有需要再研究
评论
这个功能真不错,mark一个学习
评论
现在没有免费的SSL证书申请啦???
评论
aliyun域名8元一年,申请ssl免费证书更方便,家里群晖和emby都https访问了。局域网访问,在路由器修改dns设置,比如**的ss插件有dnsmapq
评论
但是国内域名原则上要备案的,怎么破
评论
国内主机才需要备案,单独域名不用备案
评论
解决内网证书一共有三个方法:
1:使用hosts文件,手动解析域名到内网的ip地址
2:内网有自建的dns服务器,可以劫持特定域名,把域名解析到内网ip地址
3:路由器需要使用NAT回流的技术,将域名访问导向我们内网的服务器
评论
就是用国外vps,但是用阿里的域名?这两个我都符合,下次试试看
评论
回复了一下居然被说挖坟·········· 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收
·日本留学生活 求个大阪合租
·日本留学生活 自家房招租求
·日本留学生活 东京地区出9成新lv钱包
·日本育儿教育 孩子从国内过来如何学习日语
·日本育儿教育 明年四月横滨招月嫂
·日本育儿教育 请问咋让娃突破识字关?感谢分享中文共读和学习经验的妈妈
·中文新闻 东区明星迈克尔·格列柯,53 岁,将在第一次出生两年后第二次
·中文新闻 《爱情岛》明星卡米拉·瑟洛和杰米·朱维特在透露即将迎来第三